我正在研究涉及在Remedy日志文件中搜索不同模式的项目。使用logstash将消息字段分解为多个字段JSON文档或手动创建只有一个字段的JSON文档并将其提供给elasticsearch是有利的。据我所知,弹性搜索在手动生成的JSON文档中只有一个字段很好。所以我必须在这些应用程序中真正使用logstash
答案 0 :(得分:1)
通过将所有内容放入单个字段,您将自己限制为仅搜索elasticsearch的功能。虽然elasticsearch是一个非常强大的搜索引擎,但限制自己仅限搜索对我来说没有多大意义。通过将数据拆分为字段,您将能够释放弹性搜索和使用的完整分析功能,例如,Kibana可视化您的数据。仅举一个例子,通过简单地提取时间戳字段,您不仅可以搜索某些事件,还可以绘制这些事件如何及时分布的直方图。通过提取事件和源的严重性,您将能够看到导致大多数问题的源,等等。我认为从长远来看这是值得的。